ISMSについて

情報セキュリティ方針

1 ISMSの確立

当社は、当社が提供するサービスにおいて、ITによる技術術開発や製品、サービスを開発する事業者として高度にセキュアな情報セキュリティや情報セキュリティ機能を有していることが期待されていることを自覚し、取引先の要求、社会的な要請並びに当社の事業方針を鑑み、ISMS推進のための組織の確立、当社の事業に関連する情報セキュリティ管理策の策定を行い、ISMSを確立するものとする。

2 取引先の要求

当社は、当社の事業に関連する取引先の期待に応えるため、取引先からお預かりしている情報について、責任者の管理のもと、定められた規程並びに手順に従い、情報を取り扱い、取引先との情報セキュリティに関するご契約を遵守することにより、これらの情報の安全管理を確実に行うとともに、取引先向けのサービスの継続的提供に努めるものとする。

3 社会的要請

当社は、個人情報保護法、不正競争防止法等、情報セキュリティに関する法令、規制、及びその他の規範を遵守するものとする。

4 事業上の要求

当社は、当社の事業目標を達成し、取引先満足度向上のため、情報セキュリティ管理策を策定し、情報セキュリティ基盤を構築するものとする。

a)ISMS目標
当社は、毎年ISMS目標を設定し、情報セキュリティ基盤の確立及び継続的改善を行うものとする。

b) 情報セキュリティ管理策の実施
当社は、情報資産を漏洩・改ざん・紛失等の脅威から保護するため、下記の方針に従い管理策を実施するものとする。。

  • セキュリティ方針
    • 外的なリスク(ゼロデイアタックなど)、内的なリスク(ヒューマンエラーなど)については、完全に防御することを目指すだけではなく、完全には防御することができなかった場合においてもセキュリティが維持されてリスクを回避することができるという方針を原理としたセキュリティ設計を行う。
  • 物理的セキュリティ対策
    • 情報資産への外部脅威(不正なアクセスなど)や、内部要因(ミスによる破損など)が、物理的に不可能もしくは困難であるような方法を選択し採用する。
  • 論理的セキュリティ対策
    • ヒューマンエラーによるセキュリティ事故が、原理的に不可能もしくは困難であるような方法を選択し採用する。
  • その他対策
    • 外部組織のセキュリティ情報を活用する。
    • 常に最新のセキュリティ情勢を理解し、適切な技術で継続的に更新する。
    • 外部委託先の選定には特に注意し、顧客が期待する海外リスクの排除に留意する。

c) 情報セキュリティ事件・事故発生の予防並びに是正
当社は、万一情報セキュリティ事件・事故や違反が発生した場合には、被害や損害を最小限にくい止めるための体制を構築し、速やかに適切な是正処置を講じ、再発防止に努めるものとする。

d) 事業継続管理の実施
当社は、重大な障害または災害に起因する情報資産への影響を最小限にし、当社の事業活動の中断に対処するとともに、事業継続管理のための枠組みを確立し、事業継続計画を作成、維持、試験するものとする。

5 基本方針の見直し

当社は、監査の結果及び当社の外部環境の変化を踏まえ、基本方針の見直しを適時実施する。

制定日:2016 年 10 月 31 日
改定日:2024 年 3 月 14 日
株式会社 MetaMoJi
代表取締役専務 浮川初子

ISMS について

弊社では、弊社クラウドサービスの運用に関して、審査登録機関である BSI グループジャパン株式会社より ISMS の認証(認証登録番号:IS 663162)を取得し、サービスの運用を行っております。
<登録日>
2017 年 3 月 29 日
<登録範囲>
クラウドサービス運用業務

IS 663162/ ISO 27001

 

クラウドサービス情報セキュリティ方針

基本理念

株式会社MetaMoJi(以下、当社)は、クラウドサービスの提供および利用における情報セキュリティの維持のため、本方針を確立致しました。
当社が提供するクラウドサービスを安心してご利用いただくために、当社ではクラウドサービスの提供に関わる役員、従業者を含めた関係者が本方針を順守し、クラウドサービスにおける情報セキュリティの継続的な改善に取り組みます。
なお、本方針は別に定める「情報セキュリティ方針」の下位方針としております。

基本方針

1. クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項

お客様からの情報セキュリティ要求事項および、個人情報保護法をはじめとする情報セキュリティに関わる事業関連法令の要求事項、当社の情報セキュリティ方針を踏まえて、クラウドサービスの設計及び実装を行います。

2. 内部関係者に対するリスクへの対応 および お客様データへのアクセス制御手順

当サービスでお客様からお預かりするデータには、お客様の許可を得た場合や、使用許諾契約書に記載の条件に合致する場合を除き、アクセスを行いません。
また、データへのアクセス権は、常に必要最小限の範囲に制限しており、内部の関係者に対するリスク対策を行っています。

3. マルチテナントに対するリスクへの対応

当サービスは、マルチテナントアーキテクチャを採用しています。共有環境においても、お客様のデータは、お客様毎に異なる暗号鍵を用い、相互にアクセスできないよう論理的に分離されています。

4. サービスの変更通知に関する方針

当サービスの変更(機能の廃止、サービスメンテナンスによる停止など)が発生する場合は、お客様に対して、当社が定めた方法にて、事前に通知を行います。

5. お客様の利用終了後のアカウントおよびデータに関する方針

お客様と当社との間で、当サービスの利用契約が終了した場合には、お客様のアカウント及びデータは、定められた期間内に削除いたします。

6. お客様によるフォレンジック調査への支援についての方針

当サービスの利用に伴い発生するデジタル証拠について、情報セキュリティインシデントが発生した際においては、個別の提出要求に応じることが可能です。

2024年11月1日 制定
株式会社MetaMoJi
代表取締役専務 浮川初子

ISMS における弊社の取り組みについて

弊社では、弊社のクラウドサービスの運用に関して、以下の内容を実施しています。

クラウドサービスのシステムについて

クラウドサービスのシステムに関する設計・構築・運用はすべて弊社が自社で行っています。

クラウドインフラについて

弊社クラウドサービスのシステムは Amazon Web Services,Inc.社が提供する AWS クラウドサービス(以下、「AWS」といいます)上に構築されています。サービスを構成するインフラ層以下のセキュリティは AWS のセキュリティにより保護されています。

データの所在について

AWS における日本の国内リージョン内に保管されています。

データ利用範囲の制限

弊社は、クラウドサービスのシステム運用ポリシーにおいて、バックアップやログデータ等、お客様データを含むすべてのデータについて、利用範囲を弊社のクラウドシステム内に制限して運用しています。

脆弱性対策について

一定の頻度で脆弱性に関する情報の収集を実施し、情報の収集と脆弱性への対策を行うとともに定期的に第三者機関による診断や社内での検査を実施して、脆弱性の検知を行っています。

データの保存について

弊社では、お客様データが保存されるデータベースについてはセキュリティの面についても十分考慮して設計するとともに、お客様データが保存される際は、お客様ごとに異なる暗号鍵を用い、適切な強度で暗号化して保存されています。